20Aug
Jeśli złamano jedno z haseł, czy to automatycznie oznacza, że inne hasła są również zagrożone? Chociaż w grze jest kilka zmiennych, pytanie brzmi interesująco, co sprawia, że hasło jest podatne na ataki i co możesz zrobić, aby chronić siebie.
Dzisiejsze pytanie &Sesja odpowiedzi przychodzi do nas dzięki uprzejmości SuperUser - poddziału Stack Exchange, grupy napędów społecznościowych Q & A.
Pytanie Czytelnik
SuperUser Michael McGowan jest ciekawy, jak daleko sięgają skutki pojedynczego naruszenia hasła;pisze:
Załóżmy, że użytkownik używa bezpiecznego hasła na stronie A i innego, ale podobnego bezpiecznego hasła w witrynie B. Może coś takiego jak mySecure12 # HasłoA na stronie A i mySecure12 # HasłoB na stronie B( możesz użyć innej definicji"Podobieństwo", jeśli ma sens).
Załóżmy, że hasło do strony A zostało w jakiś sposób naruszone. .. może złośliwy pracownik witryny A lub wyciek bezpieczeństwa. Czy to oznacza, że hasło witryny B również zostało naruszone, czy też nie ma czegoś takiego jak "podobieństwo hasła" w tym kontekście? Czy ma to wpływ na to, czy kompromis na stronie A był wyciekiem z czystego tekstu, czy też z mieszaną wersją?
Czy Michael powinien się niepokoić, jeśli dojdzie do hipotetycznej sytuacji?
Odpowiedzi od
SuperUser pomogły wyjaśnić sprawę Michaelowi. Administrator superużytkowników Queso pisze:
Odpowiadając na ostatnią część jako pierwszą: Tak, to by miało znaczenie, gdyby ujawnione dane były czystym tekstem kontra hashed. W haszowaniu, jeśli zmienisz pojedynczy znak, cały skrót jest zupełnie inny. Jedynym sposobem, w jaki atakujący będzie znał hasło, jest brutalna wymuszenie hasza( nie jest to niemożliwe, szczególnie jeśli hash jest niesolny).
Jeśli chodzi o kwestię podobieństwa, zależy to od tego, co atakujący o tobie wie. Jeśli otrzymam twoje hasło na stronie A i jeśli wiem, że używasz pewnych wzorców do tworzenia nazw użytkowników lub takich, mogę wypróbować te same konwencje dotyczące haseł na stronach, z których korzystasz.
Alternatywnie, w haseł podanych powyżej, jeśli jako atakujący widzę oczywisty wzorzec, którego mogę użyć do oddzielenia części hasła od strony ogólnej hasła, zdecydowanie zrobię tę część niestandardowego ataku hasładostosowane do ciebie.
Jako przykład powiedzmy, że masz super bezpieczne hasło, takie jak 58htg% HF! C.Aby użyć tego hasła w różnych witrynach, dodajesz na początku element specyficzny dla witryny, dzięki czemu masz hasła takie jak: facebook58htg% HF! C, wellsfargo58htg% HF! C lub gmail58htg% HF! C, możesz postawić, jeśli jazetrzyj swój facebook i uzyskaj facebook58htg% HF! c. Zobaczę ten wzór i użyję go na innych stronach, z których korzystam.
Wszystko sprowadza się do wzorców. Czy atakujący zobaczy wzór w części specyficznej dla witryny i ogólnej części hasła?
Inny współtwórca programu Superuser, Michael Trausch, wyjaśnia, jak w większości sytuacji hipotetyczna sytuacja nie jest powodem do niepokoju:
Odpowiadając na ostatnią część jako pierwszą: Tak, to by miało znaczenie, gdyby ujawnione dane były czystym tekstem kontra hashem. W haszowaniu, jeśli zmienisz pojedynczy znak, cały skrót jest zupełnie inny. Jedynym sposobem, w jaki atakujący będzie znał hasło, jest brutalna wymuszenie hasza( nie jest to niemożliwe, szczególnie jeśli hash jest niesolny).
Jeśli chodzi o kwestię podobieństwa, zależy to od tego, co atakujący o tobie wie. Jeśli otrzymam twoje hasło na stronie A i jeśli wiem, że używasz pewnych wzorców do tworzenia nazw użytkowników lub takich, mogę wypróbować te same konwencje dotyczące haseł na stronach, z których korzystasz.
Alternatywnie, w haseł podanych powyżej, jeśli jako atakujący widzę oczywisty wzorzec, którego mogę użyć do oddzielenia części hasła od strony ogólnej hasła, zdecydowanie zrobię tę część niestandardowego ataku hasładostosowane do ciebie.
Jako przykład powiedzmy, że masz super bezpieczne hasło, takie jak 58htg% HF! C.Aby użyć tego hasła w różnych witrynach, dodajesz na początku element specyficzny dla witryny, dzięki czemu masz hasła takie jak: facebook58htg% HF! C, wellsfargo58htg% HF! C lub gmail58htg% HF! C, możesz postawić, jeśli jazetrzyj swój facebook i uzyskaj facebook58htg% HF! c. Zobaczę ten wzór i użyję go na innych stronach, z których korzystam.
Wszystko sprowadza się do wzorców. Czy atakujący zobaczy wzór w części specyficznej dla witryny i ogólnej części hasła?
Jeśli obawiasz się, że aktualna lista haseł nie jest wystarczająco zróżnicowana i przypadkowa, zdecydowanie zalecamy zapoznanie się z naszym obszernym przewodnikiem bezpieczeństwa haseł: Jak odzyskać dane po tym, jak Twoje hasło do e-maila zostanie zaatakowane. Zmieniając listy haseł tak, jakby złamane zostało hasło wszystkich haseł, hasło e-mail, możesz szybko przyspieszyć wprowadzanie portfolio haseł.
Czy chcesz coś dodać do wyjaśnienia? Dźwięk w komentarzach. Chcesz przeczytać więcej odpowiedzi od innych użytkowników Stack Exchange, którzy znają się na technologii? Sprawdź cały wątek dyskusji tutaj.
